引用來源：

編輯?|?吳說區(qū)塊鏈

事件經(jīng)過

7 月 30?日 21：34，PeckShield 監(jiān)測到 NFT 借貸協(xié)議 JPEG'd 疑似被攻擊，在 21:10，6,100?多枚 WETH（價值約 1,145 萬美元）被轉(zhuǎn)移至地址：0x94…A6Ab 中。Curve Finance 指出，JPEG'd 遭到只讀重入攻擊。目前 Curve 上 pETH-ETH pool 中 pETH 價格跌至?$383。pETH 是一種由 JPEG'd 發(fā)行的 ETH 衍生資產(chǎn)。JPEG'd 發(fā)推表示，pETH-ETH curve 池遭到攻擊，允許借貸 NFT 的保險庫合約仍然安全且運行穩(wěn)定，NFT 和國庫資產(chǎn)未受影響。

22:50 msETH-ETH 被攻擊。

23:34 alETH-ETH 被攻擊。

7 月 31 日 0：44以太坊編程語言 Vyper 發(fā)推表示，Vyper 0.2.15、0.2.16 和?0.3.0?版本的重入鎖失效。

0：45 Curve 官方推特發(fā)文表示，由于重入鎖出現(xiàn)故障，許多使用 Vyper 0.2.15 的穩(wěn)定幣池?(alETH/msETH/pETH)?遭到攻擊，其他池是安全的。

0：57 派盾統(tǒng)計受此影響，DeFi 借貸協(xié)議 Alchemix、NFT 借貸協(xié)議 JPEG'd、DeFi 合成資產(chǎn)協(xié)議 MetronomeDAO、跨鏈橋 deBridge 和采用 Curve 機制的 BNB Chain上DEX 項目 Ellipsis 累計損失超 2676 萬美元。

2：46 Metronome 發(fā)文稱作為預防措施，已暫停 Metronome 主網(wǎng)功能。

3:08 CRV-ETH 被攻擊，鏈上 CRV最低跌到0.08左右，但由于 AAVE 的價格取自 Chainlink，后者并沒把異常價格體現(xiàn)，使得 Curve 創(chuàng)始人 Michael Egorov 在 AAVE 的倉位未被清算。

據(jù)?@Super4DeFi，在此期間有套利者以?0.1ETH 購買了 600 alETH 和用 4 ETH 購買了 1200 alETH，Alchemix 官方發(fā)布聲明稱 alETH -ETH 池子損失 5000 ETH，當前 alETH =?0.7ETH。OlympusDAO 脫離 fraxBP，將國庫穩(wěn)定幣轉(zhuǎn)換成 1800?玩枚 DAI，存入 DSR 中，其余 700?萬枚 USDC 準備也換為 DAI。

7：26 派盾再次統(tǒng)計該安全事件損失已超 5195 萬美元。

7：50 CRV/ETH Pool 搶跑的 Mev Bot 部署者 c0ffeebabe.eth向 Curve Finance 部署者返還了 2,879.54 ETH，價值約 539 萬美元。

9：37 韓國最大交易所 Upbit 發(fā)布公告稱，由于 Curve 部分穩(wěn)定幣池被攻擊，導致 CRV 波動性較大，現(xiàn)已暫停 Curve（CRV）充值與提幣服務。

其他影響

據(jù) defillama 數(shù)據(jù)，Curve Finance TVL 24 小時減少 43.6%，目前為 18.4 億美元；Convex Finance TVL 24 小時減少 48.5%，目前為 149 億美元。

Aave 以太坊 v2 版本已經(jīng)禁用 CRV 借款功能（可能是為了防止交易者利用 Curve 漏洞事件恐慌，借幣 CRV 惡意做空促使連環(huán)清算）。根據(jù)此前 Aave 治理通過的提案 AIP-125，面對一些突發(fā)事件，協(xié)議可以禁止特定資產(chǎn)的借款功能。目前在 Aave v2 中有超過 3 億枚 CRV 供應（約 95%?來自 CRV 創(chuàng)始人 Michwill 的供應），僅有約 3500?萬枚 CRV 已借出。

當前 Aave 中諸如 USDC、USDT 和 DAI 等標的物存借貸 APY 發(fā)生顯著上升，當前 USDC 存借貸 APY 仍超過 20%，USDT 超過 25%。由于攻擊 Curve 黑客（0xb1...c148）從中獲利了價值 460?萬美元的 7,193,402 CRV，用戶對于 Curve 創(chuàng)始人 Michwill 巨額 CRV 清算以及產(chǎn)生的連鎖反應仍表擔憂（鏈上 CRV一度跌至?$0.08，但 Chainlink 預言機未反饋在內(nèi)，因而未觸發(fā)清算）。

目前 Michwill 在 Aave v2 有 293,020,675 CRV 擔保物（1.87 億美元）和 59,674,100 USDT 債務，清算線約?$0.37；Fraxlend 中有 71,107,195 CRV 擔保物（4,4546 萬美元）和 21,337,989 FRAX 債務（2130?萬美元），清算線約?$0.4；在 Abracadabra 中有 63,404,437 CRV 擔保物（3,190?萬美元）和 18,787,110 MIM 債務，清算線約?$0.39；Inverse 中有 25,128,033 CRV 擔保物（1,600?萬美元）和 7,689,209 DOLA 債務，清算線約?$0.4。在近 6 小時，Michwill 已陸續(xù)進行了部分債務的清償。

慢霧 @IM_23pds 指出，Vyper 官方文檔推薦的實際上是一個有缺陷的版本；余弦指出，智能合約語言層的 bug 導致一些知名項目的重入鎖防御失效，黑白帽黑客們及 MEV Bots 瘋狂了，各種重入操縱及搶跑拿走資金。最怕的就是這種基礎層漏洞，所幸這次不是 Solidity，而是不那么流行的 Vyper 出問題。或更進一步，這不是 EVM 等等更基礎層的問題。